widget, předání parametru komponentě, potvrzení smazání

Jod napsal(a):

{?$this['delForm']['id']->value = $p->id}

Díky, ale to není ono. Tohle dá jen „Creating default object from empty value.“ A nic se nepřenese. Componentu vidím na výpise {dump} ze šablony jako „components“, „delForm“ ⇒ object(AppForm), ale nevím, jak se k ní dostat.

Edit: Už to mám: místo $this musí být $component, takto: {?$component['delForm']['id']->value = $p->id}

Editoval jarks (19. 8. 2009 12:33)

Sry myslel som $presenter miesto $this :)

Btw ja to confirm používam na jednom odkaze a zabere to jeden riadok, miesto 50 ;)

Editoval Jod (19. 8. 2009 13:14)

redhead napsal(a):

Taky nějak nechápu využití AppFormu…

Hm. To je mnohem lepší, díky. Aspoň jsem se naučil, jak se dá přistupovat z formuláře ke komponentě.

Cifro napsal(a):
Nevznika tak bezpečnostné riziko, že cez url sa bude dať mazať? Treba to ošetriť ešte.

Odkaz na smazání se objevuje jen přihlášenému uživateli. Nebo myslíte nějaké další ošetření?

Cifro napsal(a):

redhead napsal(a):

	<a href="{link delete! $p->id}" onclick="return confirm('Smazat???')">smazat</a>

Nevznika tak bezpečnostné riziko, že cez url sa bude dať mazať? Treba to ošetriť ešte.

Přesně tak, doporučuji nastudovat CSRF útok

Edit: Už to mám: místo $this musí být $component, takto: {?$component[‚delForm‘][‚id‘]->value = $p->id}

Používej $control. $component je deprecated.

jasir napsal(a):

Jestli by nestálo za to vymyslet do nette nějaké „protected“ linky, něco jako umí form $form->addProtection(), tak nějak podobně. A pak mít v CurlyBrackets makra {safelink}, {safeplink}. Prostě zabránit uživateli snadné změně parametrů v url.

No špatné by to nebylo. Kdyby se třeba paramtry uložily do cache a potom by se v url předalo něco jako _sid. Ale je to naprosto neSEO.

No píšete že to neni SEO řešení … ale SEO je pro vyhledávače (aspoň sem si to do teď myslel) a google bot by se určitě neměl dostat k nějaký stránce která provádí akci (například smaže položku), takže myslim že ochránění pomocí tokenu je dobrej nápad.

Mimochodem, je vám jasné co by se stalo kdybych vzal ten link, přepsal na ID který chci smazat a umístil ho na svoje stránky do neviditelnýho img. A potom jenom čekal až se potencionální oběť objeví na mejch webovkách…

A určitě sem pro aby se přidal nějaký sLink (safeLink) kterej by na konec url vkládal proměnou s nějakym hashem nebo by klidně stačilo SESSIONID …

četli jste vůbec ten můj příspěvek? ;) Nebo radši chcete vidět kód. Asi by řekl víc, ale nechtěl jsem ho zbytečně zveřejňovat, pokud bych ještě něco upravoval, třeba to chování.

ad hash: také může být složen z náhodných znaků ne? :D

ad session: přes session určitě ne.

ad seo: myslím, že zabývat se seo u administračních úkonů není potřeba. Pokud bereme například google, a vkládáme na web nějaký sitemap.xml, tak tam asi dávat linky na smazání nebudeme. :)

Jinak vycházím z kódu co napsal Jakub Vrána, s použitím tokenů ukládaných do db.

Editoval redhead (28. 8. 2009 12:36)

Pokusil jsem se o implementaci ochrany změny parametrů linků (tj. např. uživatel nemůže změnit například parametr id linku směřující na handleDelete($id)).

Nakonec jsem zavrhl možné makro safelink (protože do šablony zřejmě nepatří ochrana aplikace). Způsob, který jsem tedy zvolil, je označení handlerových metod (handle<Something>), u kterých má kontrola probíhat pomocí anotace @secured.

Realizace jde cestou přepsání metod link a signalReceived ve vašem BasePresenteru nebo BaseControlu (funguje to pro oboje – Controly i Presentery).

Ochrana se automaticky vygeneruje jen pro signály Presenteru/Controlu a to takové, které jsou označeny anotací secured. Stačí tedy…

<?php
/**
 * @secured
 */
public function handleEdit($id) {
}
?>

…anotovat handlery které mají být chráněny proti manuální změně parametrů.

Použití

• Nakopírujte si tyto metody do vašich BasePresenterů / BaseControlů
• anotujte handlery, jejichž parametry chcete chránit pomocí @secured
• a používejte {link}, {plink}, $presenter->link() jak je libo
• Při změně parametrů vyhodí BadSignalException

Implementace je zatím experimentální, zajímě mě váš názor. Díky.

<?php
//---------------------------------------------------------------------------
//-- Secure Behaviour -------------------------------------------------------
//---------------------------------------------------------------------------

/**
 * For @secure annotated signal handler methods checks if URL parameters has not been changed
 * @param string $signal
 * @throws BadSignalException
 */
public function signalReceived($signal) {

	$methodName = $this->formatSignalMethod($signal);
	if (method_exists($this, $methodName)) {
		$method = $this->getReflection()->getMethod($methodName);
		if (Annotations::has($method, 'secured')) {
			$protectedParams = array();
			foreach ($method->getParameters() as $param) {
				$protectedParams[$param->name] = $this->getParam($param->name);
			}
			if ($this->getParam('__secu') !== $this->createSecureHash($protectedParams)) {
				throw new BadSignalException('Secured parameters are not valid.');
			}
		}
	}

	parent::signalReceived($signal);
}

/**
 * Generates link. If links points to @secure annotated signal handler method, additonal
 * parameter preventing changing parameters will be added.
 *
 * @param string  $destination
 * @param array|mixed $args
 * @return string
 */
public function link($destination, $args = array()) {

	if (!is_array($args)) {
		$args = func_get_args();
		array_shift($args);
	}

	$link = parent::link($destination, $args);
	$lastrequest = $this->presenter->lastCreatedRequest;

	/* --- Bad link --- */
	if ($lastrequest === NULL) {
		return $link;
	}

	/* --- Not a signal --- */
	if (substr($destination, - 1) !== '!') {
		return $link;
	}

	/* --- Only on same presenter --- */
	if ($this->getPresenter()->getName() !== $lastrequest->getPresenterName()) {
		return $link;
	}

	$signal = trim($destination, '!');
	$rc = $this->getReflection()->getMethod($this->formatSignalMethod($signal));

	if (Annotations::has($rc, 'secured') === FALSE) {
		return $link;
	}

	$origParams = $lastrequest->getParams();
	$protectedParams = array();

	foreach ( $rc->getParameters() as $param) {
		$protectedParams[$param->name] = ArrayTools::get($origParams, $this->getParamId($param->name));
	}
	$args['__secu'] = $this->createSecureHash($protectedParams);
	return parent::link($destination, $args);
}


/**
 * Creates secure hash from array of arguments.
 * @param array $param
 * @return string
 */
protected function createSecureHash($params) {
	$ns = Environment::getSession('securedlinks');
	if ($ns->key === NULL) {
		$ns->key = uniqid();
	}
	$s = implode('|', array_keys($params)) . '|' . implode('|', array_values($params)) . $ns->key;
	return substr(md5($s), 4, 8);
}
?>

Určitě to nebude ideální, ale šlape to docela pěkně.

Editoval jasir (6. 9. 2009 15:00)

No, a nebo nepoužít signál a potvrzení JavaScriptem, ale:

1. místo signálu použít action s formulářem, který se zeptá na smazání (čímž, pokud se nepletu, je ochrana vůči CSRF zaručena).
2. před samotným mazáním ověřit, zda má přihlášený uživatel ke smazání konkrétní položky z DB práva.

Ondrej napsal(a):

bod 2) u CSRF nic neresi…

U CSRF ty prava na mazani uzivatel ma, takze muze dojit k tomu, ze si tak vymaze nechtene celou databazi, protoze mu utocnik tyto mazaci url vnuti. (napr. skrytym obrazkem)

Jj, máš pravdu. Asi jsem reagoval na jeden z příspěvků výše, kde někdo zmínil možnost, že jako přihlášený uživatel zkusím měnit tohle číslo u sebe v okně prohlížeče a budu tak mazat záznamy i ostatním.

A k bodu 1) bych měl doplnit, že samozřejmě ten formulář musí být zabezpečen (čili v Nette addProtection()).

_Martin_ napsal(a):

A je nutné v tomto uvedeném řešení zakázat uživateli měnit parametry? Nestačilo by kontrolovat pouze ten unikátní řetězec?

No toto řešení je právě o zakázání možnosti měnit parametry handle metody. Ale možná bych měl
upozornit na to, že chráněné jsou jen parametry handle metod. Naopak ostatní parametry (i persistentní parametry) jsou nechráněné a uživatel je může měnit.
Mám-li v presenteru třeba toto:

<?php
class SecuredPresenter extends BasePresenter {

	/** @persistent string */
	public $lang;

	/** @secured */
	public handleDelete($id) {
		$this->model->deleteUser($id);
	}
}
?>

Pak v odkazech generovaných pomocí např. {link delete!, $id} bude chráněn parametr id a změnit nepůjde, naopak parametr lang měnit půjde jak bude třeba.

Editoval jasir (25. 10. 2009 20:39)

Já myslím že pak je to jen o přidání parametru tokenu (hashe) do query. Cesta by zřejmě vedla opět přes přepisování metod link() a signalReceived(), jen by se nevytvářel hash za použití ostatních parametrů, ale nějak jednodušeji. Při odeslání linku by se pak kontrolovala jen existence tokenu. Podobně jako v addProtection v třidě Form.

CSRF útok ale spoléhá na akci přihlášeného uživatele. Útočník nějakým způsobem donutí uživatelé nějakou url spustit, a to je pak nebezpečné, protože to vlastně nevlastní vinou udělá sám uživatel.

K jasirovmu kodu som si za podmienku ci je to signal (!) pridal este 1 podmienku do metody link, aby som vylucil generovania neexistujuceho signalu nad formularom

<?php
	...
        /* --- Not a signal --- */
        if (substr($destination, - 1) !== '!') {
            return $link;
        }
	...

	//ADDED
        /* --- Exclude Form submits --- */
        if (substr($destination, - 8) === '-submit!') {
            return $link;
        }
?>

Mozno sa niekomu zide

Taky jsem řešil problém, kdy jsem potřeboval předat id z vypsaných dat do componenty pře šablonu, ale tento zpsob mi nefungoval "

{foreach $polozka as $p}
        {?$component['delForm']['id']->value = $p->id} {*//<< formuláři předáme ID*}
        {control delForm}<br/>
{/foreach}

Vyřešil jsem to až s pomocí Tomáše M., kterému tímto děkuji.

{?$control['registraceKurzuForm']['id']->setValue($kurz->id)}
{control registraceKurzuForm}

Snad se to bude někou hodit.

mám jiný nápad- neměnit zápis odkazů, ale anotovat samotné metody, nette by se postaralo, volání metody je dovolené → třeba pomocí session.